验证码自动识别
有的系统虽然在登录界面带了验证码,但是验证码功能薄弱,可以被工具识别,导致系统面临被爆破登录的风险。
点击F12打开开发者工具,查看前端源码,找到生成验证码的URL。
将URL输入搜索框,验证是否正确。
然后,打开工具PKAV HTTP FUzzer,开始尝试自动识别验证码。
建议对验证码进行干扰、变形处理!
验证码爆破登录
紧接上面的系统案例,接下来同样借助工具PKAV HTTP FUzzer,咱们进行带验证码登录页面的暴力破解。
(1)首先,使用Burp Suite抓包
(2)把数据包丢进PKAV工具,分别标记password、验证码(username事前知道了,即存在admin的用户,无需用字典猜测,故此处不用标记)。
(3)给标记的变量添加猜测字典。字典可选工具自带的,也可用专门的字典生成工具生成。
或者使用工具生成字典:
(4)添加验证码地址
在登录框找到验证码地址复制到工具,识别范围看情况,这里为数字+字母。
(5)设置参数
切换到重换选项卡设置相关参数,具体设置看情况而定。
(6)识别验证码测试
相关参数设置好之后,点击进行识别测试。
(7)开始爆破
接下来,耐心等待爆破结果。
标签:PKAV,爆破,登录,验证码,绕过,工具,字典 来源: https://blog.csdn.net/weixin_39190897/article/details/86539542
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。